神州數碼無線控制器及AP配置方法培訓.ppt

《神州數碼無線控制器及AP配置方法培訓.ppt》由會員分享，可在線閱讀，更多相關《神州數碼無線控制器及AP配置方法培訓.ppt（109頁珍藏版）》請在裝配圖網上搜索。

無線控制器及AP配置方法培訓 DCN客戶服務中心 主要內容 無線網絡基本結構 無線控制器基本配置模式及AP常規(guī)配置 無線控制器無線功能開啟與關閉 無線集群的建立 AP配置管理 客戶端接入認證配置 Portal認證配置 數據轉發(fā)功能配置 射頻管理功能配置 無線安全功能配置 主要內容 無線控制器基本配置模式 約定 無線控制器 即AC DCWS 6028有線無線智能一體化控制器AP 瘦AP 由AC進行控制和管理 無線控制器上標識AP及客戶端的依據是MAC地址 無線控制器基本配置模式 無線全局配置模式APdatabase配置模式APprofile配置模式Radio配置模式 無線控制器基本配置模式 VAP配置模式Network配置模式CaptivePortal配置模式CaptivePortal實例配置模式 AP常規(guī)配置項 AP常規(guī)配置項 AP常規(guī)配置項 AP上面設置網關 查看路由表和ARP表 AP恢復出廠配置 or 無線控制器無線功能開啟與關閉 無線功能正常開啟的條件 AC上面有合法的用于無線模塊的IP地址 無線IP地址來源 只能來源于AC上面loopback接口或者UP的三層接口的IP地址 無線IP地址配置方式 靜態(tài)指定 動態(tài)選取 動態(tài)選取的IP優(yōu)先級高于靜態(tài)指定的IP 動態(tài)選取IP的原則 優(yōu)先選擇接口ID小的loopback接口的地址 不存在loopback接口時優(yōu)先選擇接口ID小的三層接口的IP地址 無線控制器無線功能開啟與關閉 靜態(tài)指定無線IP地址時無線功能的開啟 設置靜態(tài)的無線IP地址關閉無線地址的自動選擇功能通過enable使能無線功能 無線控制器無線功能開啟與關閉 無線控制器無線功能開啟與關閉 通過showwireless命令來查看無線功能開啟情況 主要查看最前面的幾行信息 無線控制器無線功能開啟與關閉 動態(tài)選取無線IP時無線功能的開啟 打開自動選擇無線IP的功能 此功能默認是打開的 如果之前使用了靜態(tài)配置的方式 則需要重新打開 通過enable使能無線功能 無線控制器無線功能開啟與關閉 AC上面存在如下的接口 在動態(tài)選取的情況下 接口loopback1的IP地址1 1 1 1會成為無線IP地址 無線控制器無線功能開啟與關閉 無線控制器無線功能開啟與關閉 無線功能的關閉 無線全局配置模式下通過noenable命令關閉無線功能 如果無線功能開啟失敗 如何檢查呢 可能的原因 AC上面沒有l(wèi)oopback接口或者up的三層接口 Loopback接口或者up的三層接口沒有配置IP地址 靜態(tài)配置的無線地址不是本機存在的loopback接口或者up的三層接口的IP地址 關閉了自動選取 但是沒有配置靜態(tài)IP 集群的建立 集群是WLAN運行的基礎 多臺無線控制器之間建立TLS連接 各個無線控制器與其所管理的AP建立TLS連接 進而構成了整個無線的集群 集群會選舉一臺AC為Controller 單臺無線控制器和若干臺AP可以構成最簡單的集群 集群建立的過程就是AC AC間 AC AP之間建立TLS連接的過程 TLS連接的建立是通過自動發(fā)現來完成的 自動發(fā)現概述 自動發(fā)現方式 三層IP發(fā)現 二層廣播發(fā)現 兩種方式均通過發(fā)送discovery報文進行 整個自動發(fā)現的交互過程要求兩個設備之間三層可達 三層發(fā)現的discovery報文可以跨越多個網段 二層廣播發(fā)現discovery報文僅在同一個VLAN內轉發(fā) 自動發(fā)現包括AP自動發(fā)現和AC自動發(fā)現 方式基本相同 略有區(qū)別 自動發(fā)現概述 三層自動發(fā)現列表ip list max256 二層廣播自動發(fā)現vlan列表 max16 自動發(fā)現概述 打開 關閉自動發(fā)現功能 默認兩種自動發(fā)現是打開的 可以通過no命令關閉 自動發(fā)現概述 AP自動發(fā)現 通過AP自動發(fā)現 可以使AP被某個AC管理 兩種模式 AC主動發(fā)現AP AP處于被動發(fā)現狀態(tài)AP主動發(fā)現AC 即在AP上面指定AC的IP地址 模式一 AC主動發(fā)現AP 在AC添加AP的database 即AP的mac地址 如果使用三層發(fā)現 則把AP的IP地址添加到ip list 如果使用二層發(fā)現 則把AP所在的vlanid添加到vlan list 模式一 AC主動發(fā)現AP 模式二 AP主動發(fā)現AC AP上面添加靜態(tài)的AC的無線地址 最多4個 AC上面查看AP的管理狀態(tài) AP自動注冊 AC上面可以設置AP上線時的認證模式為none 此時如果AC上面沒有添加AP database 經過自動發(fā)現 AC會自動添加與之建立TLS連接的AP的database AC自動發(fā)現 如果使用三層發(fā)現 在AC的三層發(fā)現ip list中添加其他AC的無線IP 如果使用二層發(fā)現 將其他AC所屬的vlanid添加到vlan list中 通過showwirelesspeer switch來查看集群中與本機建立TLS連接的其他AC 如果AP不能成功上線 如何檢查 請嘗試檢查 AC和AP之間是否可以ping通 注意AC在pingAP的時候 要以無線IP作為源地址 如果不能ping通 需要檢查AC的路由以及AP的網關 AC是否正確開啟了自動發(fā)現功能 采用三層發(fā)現時 AP的IP地址是否存在于三層發(fā)現的ip list中 采用二層發(fā)現時 AP所在的vlanid是否存在于二層發(fā)現的vlan list中 AP上面是否正確指定了AC的無線IP地址 登錄AP 通過get managed ap命令 查看mode一項的值是否為up 在AC上面打開自動發(fā)現的debugwirelessdiscoverypacketall來監(jiān)控AC和AP之間的報文交互是否正常 AP配置下發(fā) 瘦AP的配置由管理它的AC通過approfile下發(fā) AP上線后 管理AC會自動下發(fā)一次配置 每次更改了AP的配置 都要下發(fā)一次 所有應用這個profile的AP都會更新配置 AP配置下發(fā) 修改approfile對應AP的硬件類型 AP軟件版本升級 AP軟件升級包括Uboot升級和image文件升級 Uboot文件需要連接AP的串口 并進入AP的uboot模式進行升級操作 Image文件通常是在AP處于管理狀態(tài)下 通過其管理AC來對其升級 AC升級AP的image文件兩種方式 手動升級 自動升級 Uboot升級操作 在AP的串口 通過reboot重啟AP 在AP開始重啟的瞬間按住ctrl B 進入AP的uboot模式 通過setenv指定AP和tftp Server的IP地址 通過命令tftp從tftpServer下載tar格式的uboot文件 注意 必須大于0 x300000 且文件不能超過0 x2000000 通常我們在命令里面寫300000 通過命令tar bootloader update更新uboot文件 執(zhí)行reset重啟AP Image文件升級操作 手動升級方式下 集群內的AP需要在Controller上面手動觸發(fā)升級 Controller上面需要指定AP下載image文件的tftp路徑 DCWS 6028 config wireless wirelessapdownloadimage type1tftp 192 168 1 5 7900R3 0 0 2 7 tarDCWS 6028 wirelessapdownloadstart升級完成后 AP會重啟 Image文件升級操作 自動升級 AC上會存放一個AP的image文件 使能自動升級以后 當AP上線時 AC會比較當前AP的軟件版本與本地存放的是否一致 如果不一致 就會將本地存放的版本下發(fā)給AP 由AP的直接管理AC進行升級 如果AP升級或者配置下發(fā)失敗怎么辦 請嘗試檢查 AP是否成功被AC管理 Showwirelessapstatus查看 Approfile設置的hwtype是否與AP一致 升級時 AP是否與TFTPServer連通 尤其是AP與Server跨三層的時候是否正確配置了網關 升級uboot的時候 下載文件的存儲地址是否正確 300000 AP升級image時 AC上面配置的tftp路徑是否正確 AP升級image時 AC上面配置的image type是否正確 type 1 溫馨提示 客戶端的接入認證 如果使用Windows自帶的客戶端 涉及到對無線網卡加密認證模式的一些配置 詳細的配置方法可以參考文檔 無線網卡配置方法 docx 張帆 網絡SSID配置方法 每個network對應一個SSID在network模式下通過ssid配置網絡的SSID配置下發(fā)AP后生效 指定用戶接入的vlan 在network下指定該network所屬的vlan 當用戶接入到該network時 就相應的屬于network所在的vlan 默認所有的network都在vlan1 Network模式下 通過vlan命令指定vlan 并下發(fā)到AP生效 用戶的數據將在相應vlan內轉發(fā) 客戶端以open方式接入的配置方法 在network模式下 指定securitymode為none 此為默認配置 配置下發(fā)AP生效 可以通過showwirelessnetwork來查看 客戶端以wpa personal方式接入 Network模式下配置 Securitymode設置為wpa personal Wpaversion可以設置為wpa wpa2以及wpa wpa2混合模式 默認為wpa wpa2混合模式 設置客戶端認證的密碼wpakey 配置下發(fā)AP生效 客戶端以wpa personal方式接入 WPAWPA2WPA WPA2混合模式 默認方式 Radius認證相關配置 Wpa enterprise方式需要使用radius認證 AC上面radius相關的配置 配置radius認證的服務器IP地址 配置AC與radius服務器通信的密鑰 配置radius認證的nasip地址 該地址要填寫無線IP 配置AC發(fā)送radius報文使用的源地址 該地址要填寫無線IP 使能AAA 配置AAAgroup并關聯之前配置的radius服務器 Radius認證相關配置 Network下wpa enterprise相關配置 Network下 securitymode設置為wpa enterprise Wpaversion設置為wpa wpa2或者混合模式 配置radius認證服務器名稱 Portal認證概述 PORTAL在英語中是入口的意思 PORTAL認證通常也稱為Web認證 一般將PORTAL認證網站稱為門戶網站 未認證用戶上網時 設備強制用戶登錄到特定站點 用戶可以免費訪問其中的服務 當用戶需要使用互聯網中的其它信息時 必須在門戶網站進行認證 只有認證通過后才可以使用互聯網資源 如果用戶試圖通過HTTP訪問其他外網 將被強制訪問PORTAL認證網站 從而開始PORTAL認證過程 Portal功能DCN實現 Portal配置 重定向 認證 計費 全局使能Portal功能 配置Portal服務器名稱及地址 重定向URL中的IP 配置Portal實例并使能 Portal實例下配置認證 計費服務器 Portal實例下配置Portal服務器 Portal實例下配置計費和計費更新功能 將network關聯到Portal實例 DCSM服務器配置方法請參考相關的產品培訓 Portal配置 重定向 認證 計費 Portal認證使用RADIUS服務器進行認證和計費 RADIUS服務器的配置在上一章配置方法的基礎上增加計費的相關配置 紅色標識 Portal配置 重定向 認證 計費 Portal配置 重定向 認證 計費 Portal出現問題怎么辦 請嘗試檢查 全局及instance是否均使能Portal Portal服務器是否配置正確 Portal服務器是否可達 RADIUS服務器是否可達 客戶端接入的network是否映射到了某個Portal的instance DCSM服務器是否配置正確 尤其是添加無線設備的時候 設備的IP是否和AC的無線IP一致 數據轉發(fā)方式 集中式隧道建立 AC和AP或者AC和AC之間建立TLS連接以后 自動會建立集中式隧道 隧道的起點和終點為AC或者AP 此時的隧道并不具有轉發(fā)數據的功能 Jan0818 49 392006 LINK 3 UPDOWN Interfacecapwaptnl2 changedstatetoadministrativelyUP 集中式隧道配置 向集中式隧道的vlan list中添加vlan口 相應vlan的數據就會在集中式隧道內轉發(fā) Vlan list默認為空 集中式轉發(fā)要求 管理vlan和用戶數據vlan分開 管理報文不經過隧道轉發(fā) 所以管理vlan不能添加到隧道的vlan list中 為了保證管理報文和隧道報文的正常轉發(fā) 可以將AC上面連接隧道的端口設置為trunk口 nativevlan為管理vlan 集中式隧道配置 集中式隧道環(huán)路避免 如果將AC連接AP或者AC連接AC的端口設置為trunk口 則 該trunk口的allowedvlan不能包含集中式隧道的tunnel vlan 即不能含有vlan list中的vlan 集中式隧道配置 本地轉發(fā)配置 本地轉發(fā)是默認的轉發(fā)形式 AC上面沒有配置 遵守二 三層轉發(fā)的一般規(guī)則 需要注意的是 本地轉發(fā)涉及到AP的untagged vlan與管理vlan的修改 如果沒有特殊需要可以不修改這兩個值 如果需要修改 要保證管理vlan與untagged vlan一致 否則會導致AP掉線 也可以根據需要關閉AP的untagged功能 本地轉發(fā)配置 什么是分布式轉發(fā) 分布式轉發(fā)是本地轉發(fā)的一種 分布式轉發(fā)通過漫游前后的兩個AP之間建立分布式隧道 解決本地轉發(fā)的三層漫游問題 三層漫游 漫游前后的兩個AP不在同一網段 客戶端在三層漫游時要求不能重新獲取地址 分布式轉發(fā)配置 基于network使能分布式隧道 配置下發(fā)AP生效 Home AP和Assoc AP均要使能 射頻管理功能概述 射頻參數設置 國家碼 模式 功率 信道等 兩大功能 自動功率調整 自動信道調整 射頻參數設置 國家碼設置Radio的工作模式 射頻參數設置 設置AP的工作信道 需要重啟AP 設置AP的功率 需要重啟AP 自動功率調整說明 兩種方式 手動觸發(fā) 周期性觸發(fā) 自動功率調整可以通過命令開啟或者關閉 如果為AP配置了固定的功率 則不能進行自動功率調整 自動功率調整配置 手動觸發(fā) 自動功率調整 周期性觸發(fā) 設置功率調整的模式為周期性觸發(fā) 調整周期為1小時 自動功率調整應用 黑洞補償 自動功率調整的應用場景如下圖所示 系統(tǒng)中3個AP處于穩(wěn)定運行狀態(tài) 這時 中間的AP由于特殊原因 發(fā)生故障 AC和AP之間的TCP連接斷開 這時無線覆蓋范圍出現黑洞 原有覆蓋范圍內的client無法工作 自動功率調整應用 黑洞補償 無線控制器探測到該AP失敗后 統(tǒng)一根據系統(tǒng)中的AP射頻信息 對各個AP的發(fā)射功率進行調整 使之達到最佳的覆蓋范圍 盡量補償原有AP失敗出現的信號黑洞 盡量保證原有client能正常工作 自動信道調整介紹 對于無線局域網 信道是非常稀缺的資源 每個AP只能夠工作在非常有限的非重疊信道上 比如對于2 4G網絡 只有 個非重疊信道 智能地為AP分配信道是無線應用的關鍵 同時 無線局域網工作的頻段存在大量可能的干擾源 如雷達 微波爐等 它們將干擾AP的正常工作 通過信道調整功能 可以保證每個AP能夠分配到最優(yōu)的信道 盡可能地減少和避免相鄰信道干擾 而且通過實時信道檢測 使AP實時避開雷達 微波爐等干擾源 動態(tài)信道調整能夠實現通信的持續(xù)進行 為網絡的可靠傳輸提供保證 自動信道調整介紹 自動信道調整三種觸發(fā)模式 手動觸發(fā) 周期性觸發(fā)和固定時間觸發(fā) 如果為AP設置了固定的信道 則不能進行信道調整 如果關閉了自動信道調整功能 則不能進行自動信道調整 自動信道調整配置 手動觸發(fā) 自動信道調整 周期性觸發(fā) 設置調整周期 6 24h 為8小時 按此周期進行自動信道調整 自動信道調整應用 新增AP的場景 如下圖所示 系統(tǒng)原有三個AP 分別采用了信道1 6 11 這時 系統(tǒng)在圖中的左下角新增加了一個AP 新增AP初始信道選擇信道1 自動信道調整應用 新增AP的場景 經過信道調整 使各個AP的信道達到最佳的狀態(tài) 減小相互的干擾 無線安全簡介 兩大檢測功能 AP威脅檢測 Client威脅檢測 AP威脅檢測包含對11種威脅的檢測 網管設置的非法AP 非法AP假冒合法的SSID Beacon幀中Vendor字段不合法 Beacon幀中沒有SSID字段 在錯誤信道接收到managedAP的Beacon幀 ManagedAP發(fā)送無效的SSID AP工作在非法信道 合法的胖AP配置錯誤 UnmanagedAP接入有線網絡 AP使用了錯誤的安全認證方式 AP工作在WDS模式 無線安全簡介 Client威脅檢測包括對7種威脅的檢測 OUI不合法 KnownClientDatabase判定非法 認證請求幀幀泛洪攻擊 探查請求幀泛洪攻擊 解認證請求幀泛洪攻擊 認證失敗最大次數超過閾值 合法Client關聯未知AP 威脅檢測的運行依靠的是射頻掃描 RF Scan 由集群的Controller進行決策 配置操作在Controller上面進行 并下發(fā)AP生效 AP威脅檢測配置 AP威脅檢測默認情況 AP威脅檢測配置 Client威脅檢測配置 Client威脅檢測默認情況 Client威脅檢測配置 謝謝